Cisco Nexus 1000V System Management コン フィギュレーション ガイド リリース 4.0(4)SV1(3)

SNMP 機能の概要

SNMP フレームワークは、3 つの部分からなります。

• SNMP マネージャ：SNMP を使用してネットワーク デバイスの動作を制御およびモニタするためのシステム。

• SNMP エージェント：管理デバイス内部のソフトウェア コンポーネントで、デバイスに関するデータを維持し、必要に応じてこれらのデータを管理システムに伝えます。Cisco Nexus 1000V はエージェントと MIB をサポートします。SNMP エージェントをイネーブルにするには、マネージャとエージェント間の関係を定義する必要があります。

• Managed Information Base（MIB; 管理情報ベース）：SNMP エージェント上の管理対象オブジェクトのコレクション。

SNMP は RFC 3411 ～ 3418 で定義されています。

（注） SNMP セットはサポートされていません。

（注） SNMP Role Based Access Control（RBAC）はサポートされていません。

SNMPv1、SNMPv2c、および SNMPv3 です。SNMPv1 および SNMPv2c の両方により、コミュニティベースのセキュリティ形式の使用がサポートされています。

SNMP 通知

SNMP の重要な機能の 1 つは、SNMP エージェントから通知を作成できるということです。これらの通知は、SNMP マネージャからの要求送信を必要としません。通知によって、不正なユーザ認証、再起動、接続の終了、ネイバー ルータとの接続切断、またはその他の重要イベントを示すことができます。

SNMP 通知は、トラップまたは応答要求として生成されます。トラップは、エージェントからホスト レシーバー テーブルで指定された SNMP マネージャに送信される、非同期の非確認応答メッセージです。応答要求は、SNMP エージェントから SNMP マネージャに送信される非同期メッセージで、マネージャは受信したという確認応答が必要です。

トラップの信頼性は、応答要求よりも低くなります。これは、SNMP マネージャがトラップを受信するときには、確認応答を送信しないためです。Cisco Nexus 1000V では、トラップを受信したかどうかを判断できません。応答要求を受信した場合、SNMP マネージャは SNMP 応答 Protocol Data Unit（PDU; プロトコル データ ユニット）を使用して、メッセージを確認します。応答がなかった場合、Cisco Nexus 1000V はもう一度、応答要求を送信します。

複数のホスト レシーバーに通知を送信するように、Cisco Nexus 1000V を設定できます。ホスト レシーバーの詳細については、「SNMP 通知レシーバーの設定」を参照してください。

SNMPv3

SNMPv3 は、ネットワーク経由のフレームの認証と暗号化を組み合わせることによって、デバイスへのセキュア アクセスを実現します。SNMPv3 が提供するセキュリティ機能は、次のとおりです。

• メッセージの完全性：パケットが伝送中に改ざんされていないことを保証します。

• 認証：有効な送信元からのメッセージであることを判別します。

• 暗号化：パケット内容のスクランブルによって、不正な送信元で判読できないようにします。

SNMPv3 は、セキュリティ モデルとセキュリティ レベルの両方を提供します。セキュリティ モデルは、ユーザおよびユーザに与えられている役割に合わせて設定される認証方式です。セキュリティ レベルは、セキュリティ モデル内で許可されるセキュリティ レベルです。セキュリティ モデルとセキュリティ レベルのコンビネーションによって、SNMP パケットを取り扱うときに使用するセキュリティ メカニズムが決まります。

ここでは、次の内容について説明します。

• 「SNMPv1、v2、v3 のセキュリティ モデルおよびセキュリティ レベル」

• 「User-Based Security Model」

• 「CLI および SNMP ユーザの同期」

• 「グループベースの SNMP アクセス」

SNMPv1、v2、v3 のセキュリティ モデルおよびセキュリティ レベル

セキュリティ レベルによって、SNMP メッセージを開示から保護する必要があるか、メッセージの認証が必要かどうかが決定されます。セキュリティ モデル内に存在する各種セキュリティ レベルは、次のとおりです。

• noAuthNoPriv：認証も暗号化も行わないセキュリティ レベル

• authNoPriv：認証は行うが暗号化は行わないセキュリティ レベル

• authPriv：認証と暗号化の両方を行うセキュリティ レベル

SNMPv1、SNMPv2c、SNMPv3 の 3 つのセキュリティ モデルが利用できます。セキュリティ レベルと組み合わされたセキュリティ モデルによって、SNMP メッセージの処理時に適用されるセキュリティ メカニズムが決まります。

表 10-1 に、セキュリティ モデルとセキュリティ レベルの組み合わせが何を意味するかを示します。

User-Based Security Model

SNMPv3 User-Based Security Model（USM）は SNMP メッセージレベル セキュリティを参照し、次のサービスを提供します。

• メッセージの完全性：メッセージが不正な方法で変更または破壊されず、データ シーケンスが悪意なく起こり得る範囲を超えて変更されていないことを保証します。

• メッセージ起点認証：ユーザのために受信したデータの起点として主張されたアイデンティティが確認されていることを保証します。

• メッセージの機密性：不正な個人、エンティティ、またはプロセスに対して、情報が使用可能になったり開示されたりしていないことを保証します。

SNMPv3 は、設定ユーザによる管理操作だけを許可し、SNMP メッセージを暗号化します。

Cisco Nexus 1000V では、SNMPv3 に対応する 2 種類の認証プロトコルを使用します。

• HMAC-MD5-96 認証プロトコル

• HMAC-SHA-96 認証プロトコル

Cisco Nexus 1000V は、SNMPv3 メッセージ暗号化用プライバシー プロトコルの 1 つとして、Advanced Encryption Standard（AES）を使用し、RFC 3826 に準拠します。

priv オプションで、SNMP セキュリティ暗号化に DES を使用するか、それとも 128 ビット AES 暗号化を使用するかを選択できます。 priv オプションと aes-128 トークンを組み合わせた場合は、このプライバシー パスワードが 128 ビットの AES 鍵を作成するためのものであることを意味します。AES priv パスワードは、8 文字以上の長さにできます。パスフレーズをクリア テキストで指定する場合は、大文字と小文字を区別して、最大 64 文字の英数字を指定できます。ローカライズした鍵を使用する場合は、130 文字まで指定できます。

（注） 外部 AAA（認証、認可、アカウンティング）サーバを使用する SNMPv3 動作の場合は、外部 AAA サーバ上のユーザ コンフィギュレーションで、プライバシー プロトコルとして AES を使用する必要があります。

CLI および SNMP ユーザの同期

SNMPv3 のユーザ管理は、Access Authentication and Accounting（AAA）サーバ レベルで集中させることができます。この集中ユーザ管理によって、Cisco Nexus 1000V の SNMP エージェントは AAA サーバのユーザ認証サービスを活用できます。ユーザ認証が確認されると、SNMP PDU がさらに処理されます。また、ユーザ グループ名の保管に AAA サーバも使用されます。SNMP ではグループ名を使用して、スイッチでローカルに使用できるアクセス/ロール ポリシーを適用します。

ユーザ グループ、ロール、またはパスワードの設定を変更すると、SNMP と AAA の両方について、データベースの同期が図られます。

Cisco Nexus 1000V では次のように、ユーザ設定を同期させます。

• snmp-server user コマンドで指定された認証パスフレーズが CLI ユーザのパスワードになります。

• username コマンドで指定されたパスワードが SNMP ユーザの認証およびプライバシーパスフレーズになります。

• SNMP または CLI を使用してユーザを削除すると、SNMP と CLI の両方でユーザが削除されます。

• ユーザとロール（役割）間のマッピング変更は、SNMP と CLI で同期します。

• CLI から行ったロール変更（削除または変更）は、SNMP と同期します。

（注） パスフレーズまたはパスワードをローカライズした鍵または暗号形式で設定した場合、Cisco Nexus 1000V はパスワードを同期させません。

Cisco NX-OS はデフォルトで、同期したユーザ設定を 60 分間維持します。このデフォルト値の変更方法については、「AAA 同期時間の変更」を参照してください。

グループベースの SNMP アクセス

（注） グループは業界全体で使用されている標準 SNMP 用語なので、この SNMP の項では、ロールのことをグループと言います。

SNMP のアクセス権は、グループ別に編成されます。SNMP の各グループは、CLI でのロールと同様です。各グループは読み取りアクセス権または読み取りと書き込みアクセス権を指定して定義します。

自分のユーザ名を作成すると、エージェントとの通信を開始し、管理者に自分のロールを設定してもらい、そのロールに自分を追加してもらうことができます。

ハイ アベイラビリティ

SNMP ではステートレス リスタートがサポートされています。リブートまたはスーパーバイザ スイッチオーバー後に、実行コンフィギュレーションを適用します。

SNMP ユーザの設定

この手順を使用して、SNMP のユーザを設定します。

始める前に

• EXEC モードで CLI にログインします。

手順の概要

1. config t

2. snmp-server user name [ auth { md5 | sha } passphrase [ auto ] [ priv [ aes-128 ] passphrase ] [ engineID id ] [ localizedkey] ]

3. show snmp user

4. copy running-config startup-config

手順の詳細

SNMP のコンタクトおよびロケーション情報を設定する例を示します。

switch# config t

Enter configuration commands, one per line. End with CNTL/Z.

switch(config)# snmp-server user Admin auth sha abcd1234 priv abcdefgh

SNMP メッセージ暗号化の強制

着信要求の認証または暗号化を求めるように、SNMP を設定できます。デフォルトでは、SNMP エージェントは認証および暗号化を行わないでも SNMPv3 メッセージを受け付けます。プライバシーを強化する場合、Cisco Nexus 1000V は noAuthoNoPriv または authNoPriv の securityLevel パラメータを使用している SNMPv3 PDU 要求に、authorizationError で応答します。

SNMP メッセージの暗号化をユーザに強制するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

SNMP メッセージの暗号化をすべてのユーザに強制するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

SNMP コミュニティの作成

SNMPv1 または SNMPv2c に対応する SNMP コミュニティを作成できます。

SNMP コミュニティ ストリングを作成するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

SNMP 通知レシーバーの設定

複数のホスト レシーバーに対して SNMP 通知を作成するように、Cisco Nexus 1000V を設定できます。

SNMPv1 トラップのホスト レシーバーを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

SNMPv2c トラップまたは応答要求のホスト レシーバーを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

SNMPv3 トラップまたは応答要求のホスト レシーバーを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

（注） SNMP マネージャは SNMPv3 メッセージを認証して解読するために、Cisco Nexus 1000V デバイスの SNMP engineID に基づいてユーザ クレデンシャル（authKey/PrivKey）を調べる必要があります。

通知ターゲット ユーザの設定

通知ホスト レシーバーに SNMPv3 応答要求通知を送信するには、デバイス上で通知ターゲット ユーザを設定する必要があります。

Cisco Nexus 1000V は通知ターゲット ユーザのクレデンシャルを使用して、設定された通知ホスト レシーバーへの SNMPv3 応答要求通知メッセージを暗号化します。

（注） 受信した INFORM PDU を認証して解読する場合、Cisco Nexus 1000V で設定されているのと同じ、応答要求を認証して解読するユーザ クレデンシャルが通知ホスト レシーバーに必要です。

通知ターゲット ユーザを設定するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

SNMP 通知のイネーブル化

通知をイネーブルまたはディセーブルにできます。通知の名前を指定しなかった場合、Cisco Nexus 1000V はすべての通知をイネーブルにします。

表 10-3 には、Cisco Nexus 1000V MIB に関する通知をイネーブルにする、CLI コマンドを示します。

（注） snmp-server enable traps コマンドを使用すると、設定されている通知ホスト レシーバーに応じて、トラップおよび応答要求の両方がイネーブルになります。

ライセンス通知は、デフォルトでイネーブルです。その他の通知はすべて、デフォルトでディセーブルです。

指定した通知をイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

インターフェイスに関する linkUp/linkDown 通知のディセーブル化

個々のインターフェイスに関する linkUp および linkDown 通知をディセーブルにできます。これにより、フラッピング インターフェイス（アップとダウン間の移行を繰り返しているインターフェイス）に関する通知を制限できます。

インターフェイスに関する linkUp/linkDown 通知をディセーブルにするには、インターフェイス コンフィギュレーション モードで次のコマンドを使用します。

TCP による SNMP のワンタイム認証のイネーブル化

TCP セッションでの 1 回限りの SNMP 認証をイネーブルにできます。

TCP による SNMP のワンタイム認証をイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

SNMP スイッチのコンタクトおよびロケーション情報の指定

32 文字までの長さで（スペースを含まない）のスイッチ コンタクト情報を指定できます。さらに、スイッチ ロケーションを指定できます。

始める前に

• EXEC モードで CLI にログインします。

手順の概要

1. config t

2. snmp-server contact name

3. snmp-server location name

4. show snmp

5. copy running-config startup-config

手順の詳細

SNMP のコンタクトおよびロケーション情報を設定する例を示します。

switch# config t

Enter configuration commands, one per line. End with CNTL/Z.

switch(config)# snmp contact Admin

switch(config)# snmp location Lab-7

SNMP のディセーブル化

デバイス上で SNMP プロトコルをディセーブルにできます。

SNMP プロトコルをディセーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

AAA 同期時間の変更

同期したユーザ設定を Cisco NX-OS に維持させる時間の長さを変更できます。

AAA 同期時間を変更するには、グローバル コンフィギュレーション モードで次のコマンドを使用します。

関連資料

標準規格

MIB